hardEningCLOUD_byDM20911

端到端的云安全审计与加固 —— GCP · AWS · Azure。
全面侦查 → CIS 检测 → 人工批准的修复 → 前后对比报告。

由 Sombrero Blanco × Optimizaria 提供的 skill

## 这是什么？ 它不仅仅是一个扫描器。它是一个**完整的工作流**，接收一个云项目，并将其变得 可衡量且可验证地更加安全： 1. **发现**账户/项目/订阅内的所有内容。 2. **查找**违背 **CIS Benchmark** 的漏洞和错误配置。 3. **修复**它们 —— 在进行任何更改之前，必须获得**明确的人工批准**。 4. **记录**在包含**前后对比**以及安全态势分数变化的报告中。 大多数工具在列出发现的问题后就停止了。这里的价值在于**闭环**：报告以**安全态势分数**（通过 CIS 检查的百分比）为核心，该分数在修复后会有所提升，并具有每次更改的可重现证据。

## 功能特性 | | | |---|---| | ☁️ **真正的多云** | 支持 GCP、AWS 和 Azure，并按域名进行实时枚举（IAM、网络、存储、加密、日志）。 | | 🛡️ **CIS + MITRE + OWASP** | 检查结果基于 CIS Benchmark 进行分类，并映射到 MITRE ATT&CK Cloud 和 OWASP。 | | 🤝 **带有人工审查的修复** | 自由读取；**所有写操作都需要明确批准**。包含防止锁定规则。 | | 🔧 **工具预检** | 在开始之前验证并安装必要的 CLI（gcloud/aws/az、Prowler、ScoutSuite）。 | | 📊 **前后对比报告** | 包含初始与最终的安全态势分数、每个漏洞的证据以及证据归档。 | | 🧩 **可配置的工作模式** | 支持直接使用 CLI、复制粘贴（适合 VPN/zsh）或混合模式 —— 由用户在信息收集阶段决定。 | ## 支持的 AI 模式 此 skill 适配多种 AI 运行环境。相同的方法论，相同的脚本，不同的封装。 | 运行环境 | 文件夹 | 入口点 | |---------|---------|------------------| | **Claude Code / Claude.ai** | [`claude/`](claude/) | `SKILL.md` (skill frontmatter) | | **Gemini CLI** | [`gemini/`](gemini/) | `GEMINI.md` | | **Codex / 通用代理** | [`local-ai/`](local-ai/AGENTS.md) | `AGENTS.md` | | **本地 LLM (Ollama / LM Studio)** | [`local-ai/`](local-ai/ollama-system-prompt.md) | `ollama-system-prompt.md` | ## 安装说明 ### Claude Code (skill) ``` git clone https://github.com/DM20911/hardEningCLOUD_byDM20911.git cp -r hardEningCLOUD_byDM20911/claude ~/.claude/skills/hardEningCLOUD_byDM20911 ``` 然后，在 Claude Code 中输入：*“audita mi proyecto GCP / AWS / Azure”*（审计我的 GCP / AWS / Azure 项目），skill 就会被激活。 ### Gemini CLI ``` cp hardEningCLOUD_byDM20911/gemini/GEMINI.md ./GEMINI.md # en la raíz de tu proyecto ``` ### 本地 LLM 将 `local-ai/ollama-system-prompt.md` 复制为你模型（Ollama、LM Studio 等）的 *system prompt*。 ## 用法（典型工作流） ``` Tú: audita mi proyecto GCP acme-prod-123 y arregla lo crítico IA: [Fase 0] ¿Cómo trabajamos? (CLI directo / copy-paste / híbrido) [Preflight] Falta gcloud y prowler — ¿los instalo? (sí/no) [Plan] Cubriré: IAM, red, storage, cifrado, logging (CIS GCP) ... [Fase 2] Score inicial: 61% · 4 críticos, 7 altos [Fase 3] Hallazgo #1 (Critical): bucket público gs://... Fix propuesto: gcloud storage buckets update ... ¿aplico? (sí/no) ... [Fase 4] Score final: 92% (+31 pts) · informe.md + evidencias.md generados ``` ## 基准测试 由独立的子代理进行评估，**对比使用 skill 与基线（不使用 skill）**，包含 3 个真实案例， 14 项客观断言。

| 案例 | 使用 skill | 基线 | |------|:---------:|:--------:| | 审计 GCP 并修复 | **5/5** | 3/5 | | 审查 AWS IAM 策略 (JSON) | **5/5** | 4/5 | | 在只读模式下加固 Azure | **4/4** | 4/4 | | **总计** | **14/14 (100%)** | **11/14 (79%)** | ## 仓库结构 ``` hardEningCLOUD_byDM20911/ ├── claude/ # Skill para Claude Code (SKILL.md + scripts + references) ├── gemini/ # Versión Gemini CLI (GEMINI.md) ├── local-ai/ # AGENTS.md (Codex/genérico) + system prompt para LLM local ├── assets/ # Imágenes (SVG) ├── docs/ # Brochure/benchmark en PDF ├── benchmark/ # Resultados de la evaluación └── README.md ``` ## 道德声明 本工具假定您对受审计的目标（自有资源或签有渗透测试合同的客户资源）拥有**明确的授权**。请勿在未经许可的情况下将其用于他人的基础设施。所有针对云端的写操作在设计上均需人工批准。 ## 作者 - **Sombrero Blanco** — [@SombreroBlanc0](https://github.com/SombreroBlanc0) - **Optimizaria** — [optimizaria.com](https://optimizaria.com) 许可证 [MIT](LICENSE)。

标签：AI风险缓解, AWS, Azure, CIS基线, Cutter, DPI, GCP, 云审计, 基线加固, 多云, 防御加固